Soll-Zustand überarbeiten?

[Ragamuffin]

Moin moin zusammen,

ich habe heute meinen IHK-Antrag zurückbekommen. Wurde natürlich nicht sofort angenommen, aber das war ja auch zu erwarten. Vielmehr frage ich mich allerdings, was der liebe Herr jetzt genau von mir will. Der Antrag und das Thema selbst sind wohl soweit okay, aber er bemängelt folgendes:

Der im Antrag beschriebene Soll-Zustand ist in der Projektarbeit zu beschreiben bzw. zu begründen

Mein Soll-Konzept/Zielsetzung sieht wie folgt aus (ich hoffe zumindest mal, dass er das damit meinte):

Soll-Konzept:

1. Innerhäuslicher Webserver mit Windows 2003 Server Web Edition

1.1 Einrichtung Onlineshop

1.2 Hierfür Echtzeitzugriff auf die Warenwirtschaft (Hauptserver)

1.3 Wird komplett von Drittfirma bereitgestellt

2. Trennung & Schutz von Webserver, WLAN und Arbeitsstationen

2.1 Einrichtung eines separaten Netzes (DMZ) für den neuen Webserver

2.1.1 Zweck: Schutz des Netzwerks vor Angriffen aus DMZ bzw. Internet

2.1.2 Das Netzwerk erhält den Bereich 192.168.1.0/24

2.2 Einrichtung eines separaten Netzes für WLAN

2.2.1 Zweck: Schutz vor unberechtigten Zugriffen über WLAN

2.2.2 Integration eines WLAN-APs inkl. starker WPA2-Verschlüsselung

2.2.3 Nur Ports für Dateizugriff und Warenwirtschaft werden gestattet

2.2.4 Das Netzwerk erhält den Bereich 192.168.2.0/24

2.3 Einrichtung eines separaten Netzes für PCs, Hauptserver und Drucker

2.3.1 Bestehendes Netzwerk wird beibehalten

2.3.2 Anpassung der Arbeitsstationen, Gateway entfällt (siehe Punkt 3)

3. Integration eines PCs, der die Anforderungen von Punkt 2 erfüllt

3.1 Erhält die IP-Adressen 192.168.0.1, 192.168.1.1 und 192.168.2.1

3.2 Somit entfällt der bestehende Breitbandrouter

3.3 Weiterleitung von Ports

3.3.1 TCP-Port 80 an den Webserver für den Onlineshop

3.3.2 TCP-Weiterleitung muss aktiviert sein zur Fernwartung

3.4 Freigabe von Ports für die abgesicherten Netze DMZ und WLAN

3.4.1 TCP-Port 2048 und 2049 für die Warenwirtschaft

3.4.2 TCP-Port 137, 138, 139 und 445 für die Dateifreigabe

3.4.3 TCP-Port 9100 für den Druck auf den Laserdrucker

3.5 Einrichtung eines DHCP-Dienstes

3.5.1 Der DHCP-Dienst des Hauptservers wird abgeschaltet

3.5.2 Festlegung statischer IPs über MAC-Zuordnung

3.6 Schutz und Einschränkung des Surfverhaltens

3.6.1 Einrichtung eines Proxy-Servers

3.6.2 Setzen der Zugriffsrechte

Auswahl:

Für die Wahl des Betriebssystems kommt aus Sicherheitsgründen nur ein

OpenSource-System wie Linux/Unix in Frage, um eine Monokultur im Netzwerk zu

vermeiden. Bei der Wahl der Distribution kamen mehrere Systeme in Betracht, wie

z.B. Debian und SUSE, m0n0wall oder IPCop. Debian, SUSE und vergleichbare

Distributionen schieden aus, da die Systeme nicht für den reinen

Firewall-Einsatz optimiert sind und daher zuviel unnötige Angriffsfläche

bieten. Die m0n0wall bietet lediglich Firewall-Funktionen und ist daher als

Komplettsystem für alle erwünschten Funktionen nicht einsetzbar. Letztendlich

fiel die Wahl auf IPCop (http://www.ipcop.org), da das System alle benötigten

Funktionen bietet, sich sehr einfach via Web-Interface administrieren lässt,

sich auf diesem Wege auch Updates einspielen lassen und die gesamte Sicherung

des Systems mit einer Diskette vollzogen werden kann.

Ausstattung des geplanten PCs:

01. Gehäuse Midi

02. Netzteil bis 400 Watt

03. CPU bis 2 GHz

04. Mainboard (passend zur CPU)

05. Arbeitsspeicher bis 512 MB

06. Einfache Grafikkarte

07. Festplatte bis 80 GB

08. CD-ROM-Laufwerk (zur Installation)

09. Diskettenlaufwerk (zur Datensicherung)

10. Server-Netzwerkkarte 4-Port (von der im vorhinein sichergestellt wurde,

dass IPCop passende Treiber zur Verfügung stellt)

Sonstige Artikel:

01. 4-fach Monitorumschalter (für alle drei Server)

02. WLAN-Accesspoint mit modernem Sicherheitsstandard WPA2

03. 2x Twisted-Pair-Kabel (Hauptswitch & DSL-Modem)

04. 2x Crossover-TP-Kabel (WLAN-AP & Webserver)

Zielsetzung:

Am Ende des Projekts steht mit dem Linux-Router auf Basis von IPCop ein System

zur Verfügung, welches sämtliche erforderlichen Funktionalitäten bietet, sich

einfach sichern und administrieren lässt und darüber hinaus in einem sehr

günstigen PC-System untergebracht ist.

Ich weiß, ist es etwas sehr ääh... umfangreich geworden. Jetzt gehe ich einfach mal davon aus, dass die wollen, dass ich hier Sachen rausnehme, um diese dann später in die Projektdokumentation aufnehmen zu können.

Habt ihr nen heißen Tipp welche® Teil(e) das seien sollten?

Schonmal Danke im Voraus!

[charmanta]

das ist so viel Holz, daß ich das in der Frühstückspause gar nicht alles lesen kann.

Mir fällt auf jeden Fall gleich auf, daß Du keine Entscheidung triffst. Bereits im Antrag legst Du Dich auf ein Produkt fest.

Die Gliederung liesst sich als sei sie im Rausch erstellt:

2.1 Einrichtung eines separaten Netzes (DMZ) für den neuen Webserver

2.1.1 Zweck: Schutz des Netzwerks vor Angriffen aus DMZ bzw. Internet

...

2.2.2 Integration eines WLAN-APs inkl. starker WPA2-Verschlüsselung

2.2.3 Nur Ports für Dateizugriff und Warenwirtschaft werden gestattet

...

das sind doch keine Unterpunkte ???

Also, die GANZE Gliederung bitte mal in einen Topic und Unteraufgaben umschreiben.

Klarstellen, welche nachvollziehbaren Entscheidungen Du im Rahmen des Projektes fällten wirst. Selbst die Wahl eines Netzes 192.168.x.y ist eine Entscheidung, die nicht in den Antrag gehört. Und WARUM machst Du das ?

Im Grunde reicht Dein Passus "Zielsetzung" aus, solange Du den umschreibst. Dein Projekt ist doch (einfach !) die Suche nach einem sicheren Zugang ins Internet und Retour. Da gibt es ne Menge Ansätze, die Du gegen IPCOP betrachten kannst.

[Ragamuffin]

Okay, habe den Antrag heute nachmittag überarbeitet. Warte derzeit noch auf die Bestätigung meines Ausbildungsbetriebes. Habe die Entscheidung, ob es denn nun IPCop seien soll oder was ganz anderes aussen vor gelassen, sondern nur niedergeschrieben, was effektiv gefordert ist. Ich denke mal, dass das hinhauen sollte.

[Ragamuffin]

Und hier nochmal der überarbeitete Absatz. Mein Betrieb hat den jetzt auch so in der Form weitergeleitet.

Die Einrichtung des Webservers mit Windows 2003 Server wird, wie eingangs erwähnt, von einer Drittfirma durchgeführt. Nun ist es erforderlich eine Möglichkeit zu finden, das vorhandene Netzwerk aus Sicherheitsgründen zu gliedern, um die angreifbareren PCs (Webserver, Laptops via WLAN) von den weniger angreifbaren PCs (Arbeitsstationen via TP-Kabel) abgrenzen zu können - unter Berücksichtigung der benötigten Dienste der Warenwirtschaft auf dem Hauptserver, der Dateifreigabe und des Netzwerkdrucks. Des Weiteren muss eine Proxy-Funktion gegeben sein, damit Schutz und Einschränkung des Surfverhaltens der Mitarbeiter festgelegt werden kann. Für das Projekt wird dies daher über einen PC mit entsprechendem Betriebsystem realisiert werden, da nur so ein frei konfigurierbares und den Bedürfnissen entsprechendes System realisiert werden kann.

Ich weiß, den letzten Satz hätte man geschickter formulieren können, also wegen des doppelten "realisiert".